你刷到的广告,可能和别人看到的根本不一样
你有没有过这样的经历:和朋友搜同一个关键词,你刷到了一条看似正规的品牌广告,点进去却发现是钓鱼页面,可朋友点开同一条链接,看到的却是完全合规的正常内容?你有没有想过,那些骗过平台审核、挂在搜索引擎首页
阅读全文不起眼的“光盘”你放好了吗?
随着信息技术的飞速发展,光盘作为传输敏感数据、存储涉密内容的重要载体,在政府机关、涉密单位及相关企业的日常工作中发挥着重要作用。但相较于涉密U盘插入外部电脑需密码解锁等防护设计,光盘使用更具“开放性”
阅读全文九佳易管理系统picHY.aspx接口存在SQL注入漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
阅读全文【AI高危漏洞预警】Claude Desktop命令注入漏洞CVE-2026-26029
漏洞描述:ѕf-mср-ѕеrvеr是为Clаudе fоr Dеѕktор实现的Sаlеѕfоrсе MCP服务器,由于在使用сhild_рrосеѕѕ.ехес构造Sаlеѕfоrсе CLI命令
阅读全文【AI高危漏洞预警】Langflow工具远程代码执行漏洞CVE-2026-27966
漏洞描述:Lаnɡflоԝ是一款用于构建和部署AI驱动的代理和工作流的工具,在版本1.8.0之前,Lаnɡflоԝ的CSVAɡеnt节点中硬编码了`аllоԝ_dаnɡеrоuѕ_соdе=Truе`
阅读全文Timeline Sec团队2025年度奖项盘点!
2025这一年,我们用专业诠释担当,用实干书写成绩,在共同的目标下凝聚起最坚实的力量。今天,我们正式发布年度团队与个人成绩汇总,致敬每一份努力,铭记每一段并肩前行的时光。SRC组团队成绩OSRC“20
阅读全文写Frida脚本嘎嘎快的插件
字数 279,阅读大约需 2 分钟前言过年回来开宫,Frida 启动命令都忘光了。更不要说 Frida 脚本怎么写了。打开 Pycharm,手放键盘上不知道敲什么,还要去文档里找,或者直接大模型启动
阅读全文iOS虚拟手机实现原理解析
iOS虚拟手机实现原理解析最近推上iOS虚拟手机话题很火,很从我晒了自己动手修改实现的可运行的iOS虚拟手机。基于tart的super-tart-vphone项目用起来要20G的空间,这着实有些难受。
阅读全文【安全圈】Python 热门 ORM 爆出 9.8 分致命漏洞,数据库或被完全读取
关键词安全漏洞近日,Python 异步 ORM 库 ormar 被披露存在一项严重安全漏洞,编号为 CVE-2026-26198,CVSS 评分高达 9.8 分。该漏洞影响版本 0.9.9 至 0.2
阅读全文【安全圈】罗马尼亚黑客被引渡至美国,承认入侵俄勒冈州政府网络并实施身份盗窃
关键词网络攻击一名来自罗马尼亚康斯坦察的 45 岁男子 Catalin Dragomir 已被引渡至美国,并承认入侵俄勒冈州政府计算机网络及多家美国机构系统。根据 United States Depa
阅读全文【安全圈】微软披露新型木马攻击:伪装游戏工具植入RAT,远程窃取数据
关键词恶意软件微软安全团队通过 Microsoft Defender 发现一起正在活跃的恶意软件传播活动,攻击者将木马程序伪装成常见游戏工具,通过浏览器和聊天平台传播。一旦用户运行这些看似正常的程序,
阅读全文【安全圈】新型安卓RAT“Oblivion”曝光:$300即可买断,自动绕过权限与隐藏远程控制
关键词恶意软件安全研究人员发现,一款名为 Oblivion 的安卓远程控制木马(RAT)正在地下市场销售,每月售价仅 $300,但其功能堪称全能。该恶意软件可悄无声息地接管安卓设备,覆盖 Androi
阅读全文论文一直投不中?藏不住了!大牛帮选刊投稿后,被拒的5篇SCI全中了!
说到发论文的辛酸,相信老师和同学们都深有体会,发SCI真的是这个世界上最痛苦的事,没有之一!我查阅后台留言的时候,有一次看到一位博士老师半夜还在“倒苦水”。说自己没日没夜的搞选题、做实验、一遍一遍地投
阅读全文校园软件强制收集学生敏感数据,学校等赔偿近1.2亿元
关注我们带你读懂网络安全美国芝加哥公立学校及教育软件公司PowerSchool被指控,在学生使用学校强制要求的教育技术产品期间,对学生实施非法窃听和监听。前情回顾·网络安全事故和解赔偿近万名警员信息遭
阅读全文失控的AI身份核验:OpenAI、Persona与美政府的监控边界
2026 年 2 月,一场由海外安全研究团队发起的调查,撕开了 AI 时代用户隐私保护的巨大口子:为了使用 ChatGPT 等 AI 工具上传的身份证、自拍、个人信息,不仅会被一套不透明的系统全方位筛
阅读全文告别漏报!Al + SSA 数据流分析精准捕获17处密码泄露
简而言之,现有方式适合“静态代码检索”,但不具备“跨过程数据流分析”的能力。这导致 AI 在追踪用户输入流向危险函数的链路时,极易因信息断层而产生漏报,或因强行通读海量无关代码而导致上下文窗口溢出。为
阅读全文Claude Code遭入侵,RCE漏洞可窃取组织API密钥
Anthropic 公司开发的 AI 命令行开发工具 Claude Code 存在严重漏洞。攻击者可通过利用项目配置文件实现远程代码执行(RCE)并窃取 Anthropic API 密钥。Check
阅读全文谷歌API密钥通过Gemini静默泄露隐私数据
谷歌云API密钥存在严重的权限提升漏洞——传统对外公开的密钥会静默授予攻击者对Gemini AI端点的未授权访问权限,导致私有文件、缓存数据和计费AI服务面临泄露风险。十余年来,谷歌一直明确要求开发者
阅读全文2025年1%的安全漏洞被实际利用,却造成绝大多数网络攻击
虽然每年报告的安全漏洞数以万计,但最新调查发现绝大多数漏洞从未被实际利用。相反,一小部分"常规攻击目标"漏洞造成了几乎所有的破坏。研究机构VulnCheck今日发布的《2026漏洞利用情报报告》详细分
阅读全文网络犯罪组织SLH以每通电话500-1000美元招募女性进行语音钓鱼
臭名昭著的网络犯罪组织Scattered LAPSUS$ Hunters(SLH)正通过经济激励手段招募女性实施社会工程攻击。威胁情报公司Dataminr最新报告披露,该组织以每通电话500至1000
阅读全文每周蓝军技术推送(2026.2.7-2026.2.27)
WEB安全PortSwigger发布的2025年十大Web黑客技术,包含新的错误注入和SSTI利用技术https://portswigger.net/research/top-10-web-hacki
阅读全文2.155亿美元USDT规避冻结:8310条黑名单提案揭示行业合规潜在漏洞
作为长期深耕区块链安全与合规领域的研究团队,BlockSec AI近期针对USDT冻结规避问题展开了全量链上数据分析,却发现了与行业此前认知截然不同的结论。此前有知名报告指出,仅有7800万美元USD
阅读全文重磅打造 | 0day系列——Web框架漏洞挖掘
做网络安全、开发、运维的同行,几乎都有过这样的挫败感:✅ 记了一堆零散技巧,面对真实业务代码仍无从审计;✅ 懂漏洞概念,却不懂底层逻辑,遇WAF/RASP直接卡壳;✅ 学旧案例跟不上漏洞迭代,最新CV
阅读全文使用JADX-MCP高效反混淆
通过优化提示词,规范化agent的行为,从而得到一套高效率的java层反名称混淆方法。痛点在安卓逆向过程中,我们常遇到这样的混淆:总结起来可以分几类:1、unicode小语种类,比如阿拉伯语,类名竟然
阅读全文300美元买下你的手机控制权?这款新型安卓木马能在你眼皮底下“隐形操控”一切
如果你正在刷手机,屏幕突然弹出“系统更新”的提示,你的第一反应是什么?大概率会耐心等待它完成吧?安全研究人员发出警告:如果你看到这样的画面,手机可能已经被黑客完全接管了。一款名为 Oblivion 的
阅读全文如何快速入门TARA分析
点击上方蓝字谈思实验室获取更多汽车网络安全资讯在当今信息化时代,车联网与智能车的有机联合,其搭载了先进的车载传感器、控制器、执行器等装置,能够与外部网络、道路基础设施以及其他车辆进行实时通信和数据交换
阅读全文当密码成为整车架构的一部分——纽创信安参加 AutoSec 十周年的技术思考
点击上方蓝字谈思实验室获取更多汽车网络安全资讯十年深耕,筑盾前行;薪火相传,共启新程。2026年3月12–13日,AutoSec 2026中国汽车网络安全及数据安全合规峰会将在上海盛大启幕。恰逢十周年
阅读全文AutoSec 10周年大咖确认 | 蔚来汽车全球网络安全负责人:构建车联万物的安全免疫系统—智驭风险、韧性前行
点击上方蓝字谈思实验室获取更多汽车网络安全资讯2026 年 3 月 12-13 日,由上海市普陀区科委指导,谈思实验室、谈思汽车主办,上海市车联网协会联合主办的「10周年行业年会 | AutoSec
阅读全文商务部:调整对加拿大反歧视措施
点击上方蓝字谈思实验室获取更多汽车网络安全资讯商务部今天发布公告,公布调整对加拿大反歧视措施。2025年3月8日,商务部(以下称调查机关)发布2025年第11号公告,公布就加拿大对华相关限制性措施进行
阅读全文